Een hotelkamer geeft de meeste mensen een gevoel van relatieve veiligheid. Je bent niet thuis of op kantoor, maar het voelt veilig genoeg om je waardevolle spullen achter te laten als je de deur uit gaat voor zaken of om de stad te verkennen.
Maar … als je wist dat iemand ongezien jouw kamer kan openen zonder originele sleutel, zou je je dan net zo veilig voelen?
F-Secure-onderzoekers Tomi Tuominen en Timo Hirvonen hebben serieuze ontwerpfouten gevonden in Assa Abloy’s smart lock system Vision by Vingcard. Dit systeem wordt in een groot aantal hotels en andere instellingen over de hele wereld wordt gebruikt. Hierdoor kan een potentiële aanvaller elke deur openen binnen een locatie die het slotsysteem gebruikt. En dus ook toegang krijgen tot ‘restricted areas’.
Hoe werkt het?
De aanvaller legt eerst zijn hand op een elektronische keycard voor een willekeurig slot binnen de doelfaciliteit. Elke sleutel werkt, of die nu wordt gebruikt voor een super veilige kamer of een bezemkast.
Wat nog erger is, de sleutel hoeft niet eens actief te zijn. Een oude, verlopen sleutel doet het net zo goed. Hoeveel keycards denk je dat hotels jaarlijks verliezen? Als we alleen al kijken naar de collectie van Mikko Hyppönen dan zijn het er nogal wat.
Als de aanvaller eenmaal een kaart heeft weten te bemachtigen, kan hij een klein, gemakkelijk te verbergen hardware-apparaat gebruiken om een master key te maken. Die master key bevat besturingssoftware die jarenlang onderzoek heeft gevergd en niet openbaar zal worden gemaakt. Ja, het is echt zo erg als het klinkt: nu kunnen ze elk slot in de faciliteit openen met één simpele swipe.
Sesam open u.
Welke hotels zijn getroffen?
Hotels die het Vision-softwaresysteem van Assa Abloy gebruiken zijn getroffen.
Belangrijk om te weten: Assa Abloy kent behalve Vision nog andere hospitality software producten waar de ontwerpfouten geen invloed op hebben. Toch is het een elektronisch sleutelsysteem dat heel veel gebruikt wordt.
Kan iemand de ontwerpfouten misbruiken?
Tomi en Timo vertellen je meteen dat dit geen gemakkelijke materie is. Navigeren door de complexe wisselwerking tussen een modern sleutelsysteem, de bijbehorende software en de daadwerkelijke keycards is lastiger dan het klinkt.
Assa Abloy is een gerenommeerde fabrikant van sloten en hun producten worden over het algemeen als goed ontworpen beschouwd. Om iets van dit kaliber te bereiken, is er diepgaande technische kennis en duizenden uren onderzoek nodig – om nog maar te zwijgen van heel veel geduld.
Eerlijk gezegd zijn er makkelijkere en goedkopere manieren om toegang tot een hotelkamer te krijgen. We hebben geen meldingen ontvangen dat iemand deze ontwerpfouten uitbuit.
Wat betekent dit voor mij?
Om de veiligheid van zowel hotelgasten als de instelling zelf te garanderen, maken we niet de volledige details van de aanvalsmethode bekend. De tools die nodig zijn om de gebreken te exploiteren, maken we ook niet publiekelijk beschikbaar.
Assa Abloy heeft al een software-patch uitgegeven die de problemen in de Vision-software corrigeert. De locaties die de update nog niet hebben toegepast, moeten dit zo snel mogelijk doen.
Al met al is er geen reden tot paniek. Mocht je binnenkort in een hotel verblijven: geniet van je tijd daar.
Dit betekent echter niet dat je geen voorzorgsmaatregelen hoeft te nemen wanneer je op reis bent. Hoewel aanvallers je deur naar de hotelkamer waarschijnlijk niet zullen hacken (bedankt Tomi en Timo!). Zijn er nog een aantal andere manieren om reizigers te benadelen.
Je kunt onze OpSec-strip bekijken voor een paar goede tips voor veiligheid tijdens het reizen. Dit zijn alvast een paar basisprincipes die je zeker in je routine moet opnemen:
- Laat waardevolle spullen en werkgerelateerde documenten nooit zomaar achter in je hotelkamer
- Vermijd het gebruik van hotelkluizen
- Gebruik indien mogelijk deurkettingen / veiligheidssloten
- Zorg goed voor je keycard!
- Gebruik een VPN-service
Bekijk onze website voor meer informatie over de kwetsbaarheid die Tomi en Timo hebben gevonden!
Ben je F-Secure partner/reseller of ben je geïnteresseerd in ons portfolio en wil je reseller worden? Meld je dan aan voor de F-Secure Partner Life Security Academy op 1 juni in Eindhoven. Klik hier voor meer informatie.
Categorieën